曹彥

摘要：風(fēng)險(xiǎn)威脅無處不在，信息安全管理部門應(yīng)對(duì)風(fēng)險(xiǎn)范圍、影響值風(fēng)險(xiǎn)進(jìn)行管理，將其控制在一定范圍之內(nèi)。

關(guān)鍵詞：信息系統(tǒng)；信息安全；安全風(fēng)險(xiǎn)

中圖分類號(hào)：TN918 文獻(xiàn)識(shí)別碼：A 文章編號(hào)：1001-828X（2018）025-0341-02

信息系統(tǒng)分布廣、源頭多，信息數(shù)據(jù)涉及各行各業(yè)，各種形式軟硬件故障、病毒感染、入侵攻擊、運(yùn)維誤操作引起的故障都可能會(huì)對(duì)關(guān)鍵數(shù)據(jù)安全帶來極大的威脅和隱患。風(fēng)險(xiǎn)威脅無處不在，信息安全管理部門應(yīng)對(duì)風(fēng)險(xiǎn)范圍、影響值風(fēng)險(xiǎn)進(jìn)行管理，將其控制在一定范圍之內(nèi)。估算風(fēng)險(xiǎn)值的前提要對(duì)評(píng)估對(duì)象進(jìn)行資產(chǎn)、威脅進(jìn)行識(shí)別，并進(jìn)行定量的分析和量化，對(duì)已有的安全措施進(jìn)行確認(rèn)。

一、計(jì)算方法

1.資產(chǎn)的識(shí)別與賦值：資產(chǎn)的評(píng)估主要評(píng)估信息系統(tǒng)資產(chǎn)的價(jià)值、信息系統(tǒng)弱點(diǎn)被威脅利用的可能性、信息系統(tǒng)面臨威脅的概率。參照《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估指南》中資產(chǎn)脆弱性和威脅識(shí)別相關(guān)內(nèi)容進(jìn)行賦值（分五個(gè)級(jí)別：非常高、高、中等、低、非常低，權(quán)重：5、4、3、2、1）。

2.風(fēng)險(xiǎn)值的計(jì)算：可以用字母“A”來表示疾控信息資產(chǎn)的價(jià)值，字母“V”來表示信息系統(tǒng)弱點(diǎn)被威脅利用的可能性，字母“T”來表示系統(tǒng)面臨威脅的概率。風(fēng)險(xiǎn)值=R（A，T，V）=R（L（T，V），F(xiàn)（Ia，Va））。安全事件發(fā)生的可能性：L=T*V；安全事件發(fā)生造成的損失：F=V*A；資產(chǎn)的風(fēng)險(xiǎn)值：Rn=L*F；系統(tǒng)的風(fēng)險(xiǎn)值：R=Max（Rn）。Ia：安全事件所作用的資產(chǎn)價(jià)值；Va：脆弱性嚴(yán)重程度；L：威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F：安全事件發(fā)生后產(chǎn)生的損失。

3.風(fēng)險(xiǎn)的等級(jí)：設(shè)定信息系統(tǒng)風(fēng)險(xiǎn)值為資產(chǎn)風(fēng)險(xiǎn)值最大值R=Max（Rn）?？梢愿鶕?jù)風(fēng)險(xiǎn)值大小將風(fēng)險(xiǎn)等級(jí)分為5級(jí)：第一級(jí)（很低：1-125）、第二級(jí)（低：126-250）、第三級(jí)（中等：251-375）、第四級(jí)（高：376-500）、第五級(jí)（很高：501-625）

二、應(yīng)用

假設(shè)評(píng)估對(duì)象為某應(yīng)急指揮系統(tǒng)。

1.資產(chǎn)賦值

（1）資產(chǎn)識(shí)別。明確應(yīng)急指揮系統(tǒng)資產(chǎn)為：服務(wù)器、網(wǎng)絡(luò)交換機(jī)、入侵檢測系統(tǒng)、防火墻、軟件、數(shù)據(jù)庫、技術(shù)資料。根據(jù)專家賦值法參照信息資產(chǎn)的保密性、完整性和可用性對(duì)信息資產(chǎn)的價(jià)值進(jìn)行賦值，見表1。

（2）主要脆弱性問題確認(rèn)：參照《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估指南》中威脅分類的定義，確認(rèn)信息資產(chǎn)存在的主要脆弱性問題并賦值，見表1。

2.風(fēng)險(xiǎn)值計(jì)算

（1）通過脆弱性與發(fā)生概率的乘積來計(jì)算威脅發(fā)生的可能性L（L=V*T）。通過計(jì)算可見L值最大為20，最小為4，見表2。

f2）通過脆弱性與資產(chǎn)價(jià)值的乘積來計(jì)算威脅產(chǎn)生的損失F（F=A*V）。通過計(jì)算可見F值最大為20，最小值為10，見表2。

（3）通過威脅發(fā)生的可能性與威脅產(chǎn)生的損失的乘積計(jì)算相關(guān)脆弱性問題的風(fēng)險(xiǎn)值Rn（Rn=L*F）。Rn最大值為320，最小值為40，見表2。

3.結(jié)論評(píng)估

Rn最大值為320，最小值為40。根據(jù)風(fēng)險(xiǎn)分級(jí)標(biāo)準(zhǔn)：第一級(jí)（很低：1～125）、第二級(jí)（低：126～250）、第三級(jí)（中等：251～375）、第四級(jí)（高：376～500）、第五級(jí)（很高：501～625），應(yīng)急指揮系統(tǒng)的風(fēng)險(xiǎn)值取最大值320，結(jié)論為系統(tǒng)風(fēng)險(xiǎn)中等。

從對(duì)風(fēng)險(xiǎn)子項(xiàng)Rn分值分析可見某應(yīng)急指揮系統(tǒng)安全問題主要還在軟件和管理措施上。信息系統(tǒng)風(fēng)險(xiǎn)整改過程中交換機(jī)弱口令、信息系統(tǒng)重要信息敏感性標(biāo)記和用戶審計(jì)問題風(fēng)險(xiǎn)值最大，為優(yōu)先處理問題。

三、討論

實(shí)際風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施中，往往會(huì)遇到系統(tǒng)量大人員少，實(shí)際操作中要考慮以下問題：

1.脆弱性問題的遺漏

根據(jù)技術(shù)水平與工作經(jīng)驗(yàn)，不同的人員對(duì)資產(chǎn)脆弱性問題的判斷和標(biāo)準(zhǔn)會(huì)有所不同，可能會(huì)導(dǎo)致關(guān)鍵脆弱性問題的遺漏。實(shí)際操作中建議參照《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中資產(chǎn)、威脅、脆弱性分類進(jìn)行對(duì)照識(shí)別。

2.賦值的偏差

本評(píng)估賦值依賴歷史經(jīng)驗(yàn)與專家判斷，可能會(huì)因不同專家的不同判斷而得出不同的結(jié)論。實(shí)際操作中應(yīng)盡可能使用多名專家賦值取均值方法得到相對(duì)較為真實(shí)可靠的結(jié)果。

本方法作為信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的方法嘗試，其結(jié)果能夠反映信息系統(tǒng)資產(chǎn)當(dāng)前安全風(fēng)險(xiǎn)狀況，能夠協(xié)助管理人員較便捷地識(shí)別出信息系統(tǒng)存在的風(fēng)險(xiǎn)點(diǎn)。